RGPD/GDPR

Um percurso e não um destino!

O que é

O GDPR (General Data Protection Regulation) especifica as funções, processos e tecnologias que as organizações devem adoptar, para garantir que os dados pessoais dos residentes da UE estão seguros, acessíveis, utilizados de forma adequada e com o seu consentimento.

O objectivo do GDPR é o de proteger todos os cidadãos da UE de violações da privacidade de dados, num mundo cada vez mais orientado para dados e, portanto, muito diferente dos tempos em que a directiva de 1995 foi estabelecida.

Embora os princípios fundamentais da privacidade de dados se mantenham válidos para a diretiva anterior, foram propostas muitas alterações às políticas regulamentares.

Em que o pode impactar

A quem se aplica o RGPD?
Qualquer empresa ou entidade, que recolha dados pessoais de cidadãos europeus.

Se a sua empresa for uma pequena ou média empresa (PME) que efetua o tratamento de dados pessoais, tem de cumprir o RGPD. No entanto, se o tratamento de dados pessoais não for uma parte principal do seu negócio e a sua atividade não criar riscos para as pessoas, então algumas obrigações do RGPD não se aplicam a si (por exemplo, a nomeação de um encarregado da proteção de dados (EPD ou DPO em inglês).

Alcance Territorial Aumentado (aplicabilidade extra-territorial)
Provavelmente a maior mudança no cenário regulamentar da privacidade de dados: a jurisdição alargada do GDPR, já que que se aplica a todas as empresas que processam os dados pessoais das pessoas que residem na União, independentemente da localização da empresa.

O GPDR torna sua aplicabilidade muito clara: processamento de dados pessoais por controladores e processadores na UE, independentemente de o processamento ter lugar na UE ou não. O GDPR também se aplicará ao processamento de dados pessoais de pessoas em questão na UE por um controlador ou processador não estabelecido na UE, onde as atividades se relacionam com: oferta de bens ou serviços aos cidadãos da UE (independentemente de o pagamento ser ou não exigido) e o acompanhamento do comportamento que ocorre na UE.

As empresas não-UE que processam os dados dos cidadãos da UE também terão de nomear um representante na UE.

Penalidades
As organizações que violarem o GDPR, poderão ser multadas até 4% do volume de negócios global anual ou até 20 milhões de euros (o que for maior). Esta é a multa máxima que pode ser imposta pelas infrações mais graves, por exemplo, sem ter consentimento suficiente do cliente para processar dados ou violar o núcleo de Privacidade por conceitos de design.

Existe uma abordagem em camadas para multas, por exemplo, uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), não notificando a autoridade de supervisão e a pessoa em questão sobre uma violação ou não realização de avaliação de impacto. É importante notar que essas regras se aplicam tanto a controladores quanto a processadores – o que significa que a “clouds” não estarão isentas da execução do GDPR.

Consentimento
As condições de consentimento foram reforçadas e as empresas não poderão mais usar termos e condições longas ilegais, uma vez que o pedido de consentimento deve ser claro e distinguível de outros assuntos e fornecido de forma inteligível e facilmente acessível, usando linguagem clara e simples. Deve ser tão fácil retirar o consentimento, como concede-lo.

Notificação de violação
Com o GDPR, a notificação de violação tornará-se obrigatória em todos os Estados membros onde uma violação de dados é susceptível de “resultar em um risco para os direitos e liberdades de indivíduos”.

Isso deve ser feito no prazo de 72 horas após ter tomado conhecimento da violação. Os processadores de dados também serão obrigados a notificar os seus clientes, os controladores, “sem atraso indevido” depois de terem tomado conhecimento de uma violação de dados.

Como nós o podemos ajudar

Desde o dia 25 de maio de 2018, as exigências de privacidade nas organizações estreitaram-se. O novo Regulamento Geral de Protecção de Dados exige novas atitudes e processos perante o tratamento de dados pessoais.

Preparamos a sua empresa em conformidade com o RGPD.

Auditoria – onde, consigo, revemos a que informação sensível que teremos de dar atenção. Termina na entrega de um relatório com pontos de melhoria e não conformidades de acordo com o regulamento.

Política de Privacidade – elaboração da Política de Privacidade da empresa, instrumento escrito de carácter facultativo decorrente do RGPD, que servirá de guia a colaboradores e clientes da empresa.

Formação – à gestão, e a todos aqueles que colaborem com a empresa para que todos estejam em uníssono no que diz respeito ao Regulamento e ao tratamento de dados pessoais.

EPD (DPO) – Avença anual para empresas, grupos de empresa, organismos públicos que tratem dados sensíveis ou grandes quantidades de dados.

Preparação Técnica – Consultoria e suporte técnico para a implementação de requisitos identificados durante a auditoria: redundância e backup de dados, encriptação de dados sensíveis no local e transporte, garantia de disponibilidade da informação nas instalações e cloud.

Serviços jurídicos – Esclarecimento de dúvidas e da conformidade com o RGPD.